PLANEX BRL-04FMX を使って宅内ネットワークを構築してからずいぶん経ったが、サーバーを公開してからファイアウォールを中心に見直している。
まず、物理ネットワークは以下のように変わっていない。部屋Bにサーバーとなる Dell PowerEdge SC430 があり、部屋Aと部屋Cにクライアントがある。それぞれは1000BASE-TスイッチングHUB「corega CG-SW05GTPLB」を通って部屋Xの PLANEX BRL-04FMX に集約され、そこからマンション共有のルーターを経由してインターネットにつながっている。
マンションの管理費に含まれており、実質強制加入となっているボクが使っているISP「e-mansion」が固定グローバルIPアドレスサービスを月額525円で始めだしたので、Dell PowerEdge SC430 でREWSE.JPを運用することにした。今まではプライベートIPアドレスだったんでダイナミックDNSですら使えなかったんだけど、いきなり大きな進化である。一契約につきIPは1個なものの、DNS登録に関しての制限もないので、個人で使う分には十分だろう。ただ、今までのプライベートIPアドレスのぬるま湯からいきなり固定グローバルIPアドレスという独り立ちを要求されることになったので、ネットワーク周りを再構成することにした。
まず、現状の構成はこんな感じ。
SMBサーバーを構築しよう。SMBはWindowsの標準的なファイル共有プロトコルで、UNIX/Linuxからはsmbclientやsmbmountを使えばアクセスできるし、Mac OS X もSMBにそのままアクセスできるので、クライアントOSを選ばないという点で使いやすい。今回は特定のプロジェクト・グループのみ読み書き権限を与えたディレクトリと、特定のグループに所属しているユーザーは読み書きでき、そのほかのユーザーは読み出しのみ可能なディレクトリを作成する。
特定のグループにしか公開しないディレクトリを作成する。ローカル環境に対しては、projectグループに読み書きを許可し、sgidビットを立てることで、そのディレクトリ内に書き込みされたファイルは全て、そのディレクトリと同じグループになるようにした。
続きを読むNFSサーバーを構築しよう。NFSはUNIXの標準的なファイル共有プロトコルだけど、クライアントとサーバー間でユーザーIDが共通であるのが前提だったり、NISサーバーと合わせて使わないとちょっと使いづらい。今回は自分の管理しているマシンにのみ読み書き権限を与え、そのほかのマシンには読み取り権限しか与えないことにする。
共有用ディレクトリを作成する。まずは特定のプロジェクト・グループにしか公開しないディレクトリ。ローカル環境に対しては、projectグループに読み書きを許可し、sgidビットを立てることで、そのディレクトリ内に書き込みされたファイルは全て、そのディレクトリと同じグループになるようにした。
続きを読む